Eine unschöne Meldung gibt es derzeit vom BSI: Das Türschloss CFA3000 von Abus hat eine kritische Sicherheitslücke. Und so wie es scheint, wird diese Lücke nicht Software technisch geschlossen, sondern durch ein Nachfolgermodell. Eine solche Lücke hat natürlich auch immer etwas beigeschmack für alle anderen Nutzer von smarten Funk Schlössern.
Das Nachfolgemodell enthält diese kritische Lücke nicht. Erkennbar ist es unter anderem an einer beiliegenden Keycard mit einem jeweils einzigartigen QR-Code. Zusätzlich ist bei der Verpackung ein Bluetooth Logo aufgedruckt.
Ob es von Seiten ABUS ein Austausch Programm gibt für die betroffene Hardware gibt, ist aktuell nicht bekannt.
Die Pressemitteilung (LINK)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt nach §7 BSI-Gesetz vor dem Einsatz des digitalen Türschlosses „HomeTec Pro CFA3000“ des Herstellers ABUS und empfiehlt, das Produkt zu ersetzen.
Für den Objektschutz von Räumen und Eingangstüren werden immer häufiger digitale Türschlösser verwendet. Zum Ver- und Entriegeln kommen dabei unterschiedliche Techniken zur Übertragung von Schließ- und Öffnungssignalen wie etwa Funk zum Einsatz. „Durch Schwachstellen in solchen Funk-Türschlössern wird die Hauptfunktion der Produkte nicht nur kompromittiert, sondern ins Gegenteil verkehrt, da diese Sicherheitslücken gezielt von Unbefugten ausgenutzt werden können“
, so BSI-Präsident Arne Schönbohm.
Eine Schwachstelle im ABUS-Produkt „Funk-Türschlossantrieb HomeTec Pro CFA3000“ führt nach Erkenntnissen des BSI dazu, dass Angreifende, die sich in der Nähe befinden, bei Ausnutzung der Schwachstelle das Funkschloss ver- und entriegeln und sich damit unbefugt Zugang zu Gebäuden, Büroräumen oder Wohnungen verschaffen können. Das herstellende Unternehmen ABUS hat die Schwachstelle gegenüber dem BSI bestätigt und mitgeteilt, dass es sich bei dem untersuchten Produkt um ein Auslaufmodell handele, welches seit März 2021 durch ein Nachfolgemodell ersetzt werde. Das sichere Nachfolgemodell sei unter anderem an einer beiliegenden Keycard mit einem jeweils einzigartigen QR-Code zu erkennen; außerdem seien bei der neuen Ausführung Produkt und Verpackung mit dem Bluetooth-Logo bedruckt.
Eine abschließende Bewertung individueller Gefahrenlagen und weitere Hilfestellungen können Verbrauchende vom herstellenden Unternehmen erhalten. „Wir erwarten, dass Unternehmen ihre Kundinnen und Kunden mit einem Problem dieser Tragweite nicht allein lassen, und empfehlen, den Einsatz alternativer Produkte zu prüfen“
, so Schönbohm. Der Fall zeige einmal mehr, dass Informationssicherheit die Voraussetzung für eine nachhaltig erfolgreiche Digitalisierung sei.
